DEPLOYLOG
ਚੀਨੀ-ਸਮਰਥਿਤ APT (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਸਮੂਹ Winnti (ਜਿਸ ਨੂੰ APT41, BARIUM, ਅਤੇ ਬਲੈਕਫਲਾਈ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੁਆਰਾ ਇੱਕ ਸਾਲਾਂ ਤੋਂ ਚੱਲੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਨੂੰ ਪ੍ਰਕਾਸ਼ ਵਿੱਚ ਲਿਆਂਦਾ ਗਿਆ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਦੀ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ, ਹੈਕਰਾਂ ਦੀ ਪੂਰੀ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਦਾ ਲੋਕਾਂ ਦੇ ਸਾਹਮਣੇ ਖੁਲਾਸਾ ਹੋਇਆ ਹੈ। ਧਮਕੀ ਭਰੀ ਕਾਰਵਾਈ ਦੇ ਦੌਰਾਨ, ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਵਿਨਟੀ ਵੱਡੀ ਮਾਤਰਾ ਵਿੱਚ ਗੁਪਤ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਯੋਗ ਸੀ, ਜਿਸ ਵਿੱਚ ਬਲੂਪ੍ਰਿੰਟਸ, ਮਲਕੀਅਤ ਡੇਟਾ, ਚਿੱਤਰ ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ ਸ਼ਾਮਲ ਹੈ। ਪੀੜਤ ਉੱਤਰੀ ਅਮਰੀਕਾ, ਯੂਰਪ ਅਤੇ ਏਸ਼ੀਆ ਦੀਆਂ ਕੰਪਨੀਆਂ ਹਨ, ਜੋ ਤਕਨਾਲੋਜੀ ਅਤੇ ਨਿਰਮਾਣ ਉਦਯੋਗਾਂ ਵਿੱਚ ਕੰਮ ਕਰਦੀਆਂ ਹਨ।
ਰਿਪੋਰਟ ਦੇ ਅਨੁਸਾਰ, ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਦਾ ਅੰਤਮ ਪੜਾਅ ਇੱਕ ਕਸਟਮ ਰੂਟਕਿੱਟ ਨੂੰ WINNKIT ਡੱਬ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਰੂਟਕਿਟ ਨੂੰ ਤੈਨਾਤ ਕਰਨ, ਸਥਾਪਿਤ ਕਰਨ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਕਰਨ ਦਾ ਕੰਮ DEPLOYLOG ਨਾਮਕ ਇੱਕ ਵੱਖਰੇ ਮਾਲਵੇਅਰ ਖ਼ਤਰੇ ਨੂੰ ਸੌਂਪਿਆ ਗਿਆ ਹੈ। ਇਸ ਨੂੰ ਇੱਕ 64-ਬਿੱਟ DLL ਫਾਈਲ 'dbghelp.dll', ਇੱਕ ਆਮ ਅਤੇ ਆਮ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਨਾਮ, C:\Windows\System32\WindowsPowerShell\v1.0 'ਤੇ ਇੱਕ ਜਾਇਜ਼ ਫਾਈਲ ਵਜੋਂ ਪਾਸ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਵਿੱਚ ਉਲੰਘਣਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਛੱਡਿਆ ਜਾਂਦਾ ਹੈ।
DEPLOYLOG ਦਾ ਪਹਿਲਾ ਮੁੱਖ ਕੰਮ WINNKIT ਰੂਟਕਿਟ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਹੈ। ਇਹ ਇੱਕ CLFS ਲੌਗ ਫਾਈਲ ਤੋਂ ਅੰਤਮ ਪੇਲੋਡ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਕੇ ਅਤੇ ਪ੍ਰਾਪਤ ਕੀਤੀ ਸਮੱਗਰੀ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਕੇ ਅਜਿਹਾ ਕਰਦਾ ਹੈ। ਅੱਗੇ, DEPLOYLOG AMD K8 ਪ੍ਰੋਸੈਸਰ ਕਰਨਲ ਡਰਾਈਵਰ ਸੇਵਾ amdk8 ਨੂੰ ਰੋਕ ਦੇਵੇਗਾ। ਇਹ ਤੱਥ WINNTI ਵੱਲ ਇਸ਼ਾਰਾ ਕਰ ਸਕਦਾ ਹੈ ਜੋ AMD-ਸੰਬੰਧੀ ਮਸ਼ੀਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ ਅਤੇ ਉਹਨਾਂ ਦੇ ਪੀੜਤਾਂ ਦੀਆਂ ਮਸ਼ੀਨਾਂ ਦੇ ਅੰਦਰੂਨੀ ਢਾਂਚੇ ਬਾਰੇ ਪੂਰਵ ਜਾਣਕਾਰੀ ਵੀ ਹੈ।
DEPLOYLOG ਦਾ ਦੂਜਾ ਕੰਮ ਸਿਸਟਮ 'ਤੇ ਉਪਭੋਗਤਾ-ਮੋਡ ਏਜੰਟ ਵਜੋਂ ਕੰਮ ਕਰਨਾ ਹੈ। ਇਹ ਹੁਣ ਤੈਨਾਤ ਰੂਟਕਿੱਟ ਅਤੇ ਓਪਰੇਸ਼ਨ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰਾਂ ਵਿਚਕਾਰ ਇੱਕ ਪੁਲ ਵਜੋਂ ਕੰਮ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰੇਗਾ। ਮਾਲਵੇਅਰ C2 ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰੇਗਾ ਅਤੇ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰੇਗਾ ਜੋ ਫਿਰ WINNKIT ਦੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਡਰਾਈਵਰ ਦੁਆਰਾ ਰੋਕਿਆ ਜਾਵੇਗਾ। ਏਜੰਟ ਦੇ ਜ਼ਰੀਏ, ਵਿਨਟੀ ਹਮਲਾਵਰ ਸੰਕਰਮਿਤ ਸਿਸਟਮ 'ਤੇ ਨਵੇਂ ਮੋਡੀਊਲ ਲੋਡ ਕਰ ਸਕਦੇ ਹਨ, ਇੱਕ CMD ਸ਼ੈੱਲ ਖੋਲ੍ਹ ਸਕਦੇ ਹਨ, ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ-ਕਲੈਕਟਿੰਗ ਪੇਲੋਡ ਛੱਡ ਸਕਦੇ ਹਨ ਅਤੇ ਹੋਰ ਵੀ ਬਹੁਤ ਕੁਝ ਕਰ ਸਕਦੇ ਹਨ।
